Stfw.RuВирус С-534 (Toothless - Беззубый, W13)
🕛 12.02.2009, 15:36
В коде вируса C-534 прослеживаются явные аналогии с кодом вируса С-648, однако чувствуется более низкая квалификация автора. Возможно, автор пользовался комментированным листингом вируса С-648 или книгой Бургера. Против этого предположения говорит тот факт, что стратегия заражения существенно упрощена, а признак зараженности файла изменен на более заметный, хотя при создании штаммов чаще наблюдаются попытки "улуч-шить" эти участки кода. Так или иначе, спецификации обоих вирусов достаточно близки.Формально вирус С-534 - файловый нерезидентный вирус, поражающий файлы типа СОМ. Функционирует на версиях MS DOS, начиная с 2.0. Длина 534 (216h) байта. Заражаются только COM-файлы длиной от 256 (100h) до 64000 (FA00h) байтов в текущем и корневом каталогах. Заражение происходит при запуске инфицированной программы, при этом за один запуск заражается не более одного файла. При выполнении зараженной программы управление передается на начало вируса. Вирус восстанавливает первые 3 байта основной программы, ищет незараженный файл с раcширением СОМ и заражает его. Это ведет к потере работоспособности EXE-файлов, записанных с расширением COM. Работоспособность таких файлов может быть восстановлена путем применения соответствующего фага.
Стратегия заражения - поиск файла-жертвы в текущем и корневом каталогах. Поражает СOMMAND.COM. При заражении он дописывается в конец программы и одновременно вставляет в первые три байта COM-файла команду перехода на тело вируса. При этом размер файла увеличивается на 534 байта, дата создания файла и атрибуты файла изменяются (вирус снимает атрибут READ ONLY и из-за ошибки в тексте не восстанавливает его; кроме того, в дате подставляется 13 (0Dh) месяц). Заражение выполняется однократно. Минимальный размер заражаемых файлов - 256 байтов (100h), максимальный - чуть меньше 64К (FA00h). При попытке заражения у файла проверяется значение месяца последней его модификации и, если оно равно 0Dh (13-й месяц), то файл не заражается. Очевидно, что данный метод предотвращения повторного заражения является вариантом метода, использованного в "базовом" вирусе С-648 с той разницей, что вместо секунд используется месяц.
Как и С-648, вирус C-534 не проверяет, находится заражаемый файл на защищенной дискете или нет, и в этом случае выдается обычное сообщение операционной системы:
Write protect error writing device <лог.имя.устр.> Abort, Retry, Ignore, Fail?
При заражении EXE-файлов с расширением COM наблюдаются те же проблемы, что и для вируса С-648.
Исторические сведения. Обнаружен в Польше в ноябре 1988 г. В Киеве появился приблизительно в октябре 1989 г. Первым фагом для данного вируса, распространяемым бесплатно, вероятно был полифаг Д.Н.Лозинского.
Неформальные названия. Помимо приведенных в заголовке, встречаются названия Micro88, Microsoft 88, Microsofttyright, основанные на содержащейся в вирусе текстовой строке, и название 13-й месяц, основанное на изменении даты создания файлов при заражении.
Методы и средства защиты. Методы защиты аналогичны методам защиты от вируса С-648. Рекомендуется использовать программы, указанные в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом C-534
100: E98D019090909090 9090909090909090 .
110: 9090909090909090 9090909090909090 .
*** Последующие строки идентичны предыдущей ***
280: 9090909090909090 90909090909090C3 .
+- ****** - J-сигнатура (звездочками поме | чены изменяемые вирусом байты)
290: 50BEF5038BD681C6 0000FCB90300BF00 P...
2A0: 01F3A48BFAB430CD 213C007503E93F01 ...0.!<.u..?.
2B0: BA2C0003D78BDAB4 1ACD21BD00008BD7 .,..!..
... .. .. .. .. .. .. .. .. . . . . . . . .
3F0: BF000157C3EBFE90 E98D015C3F3F3F3F ...W.\????
400: 3F3F3F3F2E434F4D 00545259302E434F ????.COM.TRY0.CO
410: 4D004D0000000020 00E4812400000000 M.M. ...$.
420: 00073F3F3F3F3F3F 3F3F434F4D030900 ..????????COM...
430: 000046510F0920E4 8124009001000054 ..FQ.$..T
440: 5259302E434F4D00 4D0000006F736F66 RY0.COM.M...osof
450: 7479726967687420 4D6963726F736F66 tyright Microsof
*** Последующие строки идентичны предыдущей ***
4A0: 7420313938380000 0000000000000000 t 1988.